www.hadley.de

In letzter Zeit häufen sich wieder die englischsprachigen Spam-Mails, die mir einen Trojaner (Trojan:Script/Woreflint.A!cl)unterjubeln möchten:

Good day to you!
One of your customer directed us to contact you regarding this product as attached below,
Please confirm availability of attached products and quote your lowest price on urgent bases.
PLEASE NOTE: Items on red ink are to be sent by express shipment.
Await your quick response.
Best Regards,
Daisy Brill

International Sales Manager

Caudles Catch Seafood Trading Group Co.,Ltd.

Related image
16th Floor, Sobha Sapphire, Al Khail road
Tel : 010971-6-5439754
Fax : 010971-6-5439755 :web www.caudlescatchseafood.com
Email: sales@thirealsrod.us / import@thirealsrod.us

Und auf deutsch:

Guten Tag Ihnen!
 
Einer Ihrer Kunden hat uns angewiesen, Sie in Bezug auf dieses Produkt zu kontaktieren.
Bitte bestätigen Sie die Verfügbarkeit der angehängten Produkte und geben Sie bei dringenden Anfragen Ihren niedrigsten Preis an.
 
BITTE BEACHTEN SIE: Artikel mit roter Tinte sind per Expressversand zu versenden.
 
 
Warten Sie auf Ihre schnelle Antwort.
 
Freundliche Grüße,
Daisy Brill

internationaler Verkaufs-Manager

Caudles Catch Meeresfrüchte-Handelsgruppe Co., Ltd.

Was bitte? Meeresfrüchte?

Natürlich habe ich absolut nichts mit Meeresfrüchten zu schaffen und deswegen verstehe ich auch diese Spam-Mail irgendwie nicht. Das ist doch wirklich ein eigeneartiges Produkt, wegen dem man da unzählige Menschen kontaktiert. An die Mail angehängt ist eine gepackte (ACE) Datei, die man natürlich öffnen soll. Darin befindet sich eine EXE-Datei, die schon beim Auspacken selbst vom Defender als Trojaner (Trojan:Script/Woreflint.A!cl) erkannt wird:

Trojan:Script/Woreflint.A!cl

Dieser Trojaner hat es in sich, das ist ein Konglomerat aus verschiedenen Tools und wen der mal unbemerkt auf Ihrem Rechner ist, haben Sie quasi keine Kontrolle mehr über das eigene System. Um sich zu installieren speichert er zunächst eine VBS-Datei im AUTOSTART:

On Error Resume Next
Set ShellVar = CreateObject("WScript.Shell")
ShellVar.Exec("C:\Users\HP Omen\AppData\Roaming\update\update.exe.exe")
SetShellVar =Nothing

Von dort wird der eigentliche Trojaner nachgeladen und der Hacker bekommt vollen Zugriff auf Ihren Rechner. Er kann nun ein (verstecktes) Benutzerkonto anlegen und da er damit auch Administrationsrechte auf Ihrem Rechner hat, kann er alles auf Ihren Rechner speichern, wonach ihm der Sinn steht. Selbstverständlich ist ein Keylogger dabei, der all Ihre Tastatureingaben protokolliert, Ihr Browser wird verseucht, jedwedes Passwort ausspioniert.Wenn Sie sich diesen Trojaner einfangen, sind Sie echt geliefert!

Trojaner wird erkannt

Zum Glück wird dieser Trojaner von sehr vielen Virenscanners erkannt, aber besser ist es, auf solche Mails gar nicht erst reinzufallen:

Warum sehe ich die EXE nicht?

Selbst Windows 10 zeigt nach einer Neuinstallation immer noch nicht die Dateiendungen im Explorer an. Mir ist das ein vollkommen Rätsel, denn das ist ein großes Sicherheitsrisiko. Wenn diese Anzeige ausgeschaltet ist, dann wird alles, was in einem Dateinamen nach dem letzten PUNKT kommt, ausgeblendet. So wird aus einer Datei, die eigentlich "rechnung.pdf.exe" heißt "rechnung.pdf". Klicken Sie auf diese Datei, wird natürlich die EXE ausgeführt.

Dateiendungen einschalten

Das geht ganz einfach. Im Explorer klicken Sie auf Ansicht und dort machen Sie ein Häkchen bei Dateinamenerweiterung:

Halten Sie Ihren Virenscanner aktuell!